1) Qu’est-ce que le spoofing ?
Il s’agit d’une forme de phishing particulièrement élaborée consistant, pour l’auteur de l’escroquerie, à se faire passer pour un conseiller bancaire en usurpant le numéro de téléphone de la banque de la victime et à convaincre cette dernière qu’une fraude est en cours sur ses comptes bancaires afin de l’amener à se dépouiller de la totalité de ses fonds en croyant les mettre à l’abri sur des « comptes séquestres ».
Le mode opératoire est toujours le même.
Le client reçoit un appel téléphonique d’un faux conseiller bancaire depuis un numéro de téléphone identique à celui de sa banque. Si la victime avait auparavant enregistré ce numéro sur son téléphone portable, le nom de sa banque s’affiche de sorte qu’elle n’a aucune raison de se méfier. Le faux conseiller l’informe alors que plusieurs mouvements suspects ont été détectés sur ses comptes bancaires. Grâce au piratage des données personnelles de sa victime, l’auteur de l’escroquerie dispose d’informations sur son compte bancaire, ce qui rend sa démarche parfaitement crédible.
Se montrant calme et rassurant, le faux conseiller demande ensuite à la victime d’effectuer un certain nombre d’opérations, et notamment des virements sur des comptes tiers dans le but de sécuriser ses fonds. Cette fraude se déroule sur une période de deux ou trois heures pendant lesquelles la victime est sans arrêt appelée pour l’empêcher de contacter sa banque.
Lorsque la victime réalise qu’elle a été escroquée et demande à sa banque de la rembourser, elle se heurte à un refus catégorique au motif qu’elle a fait preuve de négligence.
2) Quel est le droit applicable aux opérations de paiement non autorisées ?
L’article L133-24 du Code Monétaire et Financier dispose que l’utilisateur de services de paiement qui constate l’existence d’une opération de paiement non autorisée doit en signaler l’existence à son prestataire de services de paiement. Ce signalement doit être fait sans tarder, et, au plus tard dans les 13 mois suivant la date de débit sous peine de forclusion.
Lorsque ce signalement est réalisé, l’article L133-18 du CMF prévoit que la banque doit rembourser à son client le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant. La banque est ainsi tenue de rétablir le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.
Cette règle connaît néanmoins des limites. Ainsi, selon l’article L133-19 du CMF, le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’agissements frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par sa négligence grave aux opérations mentionnées aux articles L133-16 et L133-17, c’est-à-dire s’il n’a pas pris toutes les mesures raisonnables permettant de préserver la sécurité des dispositifs de sécurité personnalisés de l’instrument de paiement utilisé et s’il n’a pas été suffisamment diligent pour informer le prestataire de services de paiement de la perte, du vol ou du détournement ou de toute utilisation non autorisée de son instrument de paiement ou. Des données qui lui sont liées. La victime fautive devra donc supporter les pertes résultant de la fraude.
Il en résulte que c’est à la banque de la victime qu’il revient de démontrer l’existence de cette négligence grave, étant précisé que l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière [2].
Deux décisions récentes précisent les contours de la notion de « négligence grave de la victime ».
3) L’arrêt de la Cour de cassation du 30 août 2023.
Dans cette affaire, un particulier avait reçu un appel frauduleux d’un escroc se faisant passer pour un employé de sa banque, le Crédit Agricole. L’auteur de l’escroquerie lui avait demandé de lui communiquer le code à six chiffres, dénommé « 3D Secure » destiné à valider les paiements par internet à parti de son compte bancaire.
A la suite de cette communication un paiement avait été effectué à l’insu du client de la banque, lequel a demandé à sa banque de lui rembourser la somme qui avait été prélevée.
Le Tribunal judiciaire de Clermont Ferrand (statuant en dernier ressort) avait débouté la victime de sa demande, estimant qu’elle avait commis une négligence grave en faisant confiance à une personne qu’elle ne connaissait pas et qui lui racontait une histoire assez peu crédible.
La Cour de cassation a jugé
« qu’en se déterminant ainsi, sans rechercher, comme il lui incombait, si l’opération de paiement litigieuse avait été exécutée sans que la banque exige l’authentification forte du payeur, la cour d’appel n’a pas donné de base légale à sa décision ».
4) L’arrêt de la Cour d’appel de Versailles du 28 mars 2023.
La Cour d’appel de Versailles a condamné une banque à restituer les fonds détournés après avoir estimé que :
« S’il ressort des déclarations effectuées par M. [U] et du mode opératoire de l’ajout d’un bénéficiaire de virement, tel qu’il est décrit par le guide d’utilisation communiqué par la BNP Paribas, que celui-ci a validé les virements litigieux ’par clé digitale’ en validant la notification reçue sur son smartphone à l’aide de son code secret personnel, il n’est pas pour autant caractérisé une négligence grave à son encontre dès lors qu’il croyait être en relation avec une salariée de la BNP Paribas, le numéro d’appel de son interlocutrice apparaissant comme étant celui de sa conseillère dont elle indiquait être l’assistante, et qu’il a cru valider la notification litigieuse sur son application bancaire dont la banque assure qu’il s’agit d’une application sécurisée ; le mode opératoire, par l’utilisation du spoofing, soit littéralement une usurpation d’identité, a mis M. [U] en confiance et a diminué sa vigilance, étant observé que face à un appel téléphonique évoquant de surcroît un piratage, la vigilance de la personne qui reçoit cet appel est moindre que celle d’une personne qui réceptionne un mail, laquelle dispose de davantage de temps pour en prendre connaissance et s’apercevoir d’éventuelles anomalies révélatrices de son origine frauduleuse.
En outre M. [U] n’a aucunement tardé dans la révélation de ces virements frauduleux à sa banque ».
Dans ces circonstances, quand bien même M. [U] a fait usage de son code confidentiel, étant observé qu’il n’est pas démontré qu’il l’a communiqué par téléphone, email, chat ou sur les réseaux sociaux comme le mettait en garde la BNP Paribas mais qu’il a indiqué l’avoir saisi sur son application, il n’est pas caractérisé à son égard une négligence grave.
La banque est donc tenue de restituer les fonds correspondant aux virements litigieux, seul l’un deux ayant pu être bloqué et recrédité sur le compte de M. [U] le 3 juin 2019.
5) Des décisions encourageantes pour les victimes de spoofing.
Ces deux décisions ouvrent des perspectives de recouvrement aux victimes de spoofing.
En cas d’escroquerie financière, il est conseillé de faire appel à un avocat spécialisé pour exercer votre recours contre votre banque.
Discussions en cours :
cher Maitre,
Etant victime moi-même de cette fraude "spoofing téléphonique" j’ai trouvé votre article très intéressant et encourageant
car lorsque la banque vous répond que vous avez commis une négligence grave on se culpabilise alors qu’en fait on est une victime de fraude.
le manque de Sécurité ne viendrait-il pas de la banque car les fraudeurs puisent toutes nos coordonnées personnelles
Nom, N°de compte, N° de carte bancaire, N° de téléphone en bref tout sur notre identité. Donc le manque de vigilance vient de la part de la Banque et non pas de la pauvre victime qui se voit dépouillée de toutes ses économies.
Les banques sont-elles vraiment fiables ?
peut-on faire appel à la jurisprudence ARRET DU 23/10/2024 ?
Cher Confrère, votre article est particulièrement intéressant. Pourriez-vous toutefois indiquer les références de l’arrêt ? Confraternellement.